【シリーズ】ISMS新規格の管理策　変更点まとめ＜5.16〜5.20＞

管理策の変更点まとめシリーズ第4回！

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

【シリーズ】ISMS新規格の管理策　変更点まとめ｜いしはまゆうき@LRMの情報セキュリティコンサルタント｜note

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

5.16 識別情報の管理

1. 「識別情報において管理するポイント」の広がり
   識別情報の管理はいわば、IDやパスワードなどのユーザアカウント管理について言及したものと言えます。そしてこの管理策については旧規格でも「利用者登録及び削除」という形で言及されていました。
   
   その上で旧規格では「利用者登録と登録削除」についてのプロセスを実施することが求められていたのに比べ、新規格では「ライフサイクル全体の管理」が求められています。
   
   基本的に従来行ってきたことに変わりはないですが、利用中の見直しや変更に関する管理なども考慮しておくと良いでしょう。

5.17 認証情報

1. 「適切な取扱いについて要員に助言すること」を含む必要性の追加
   新規格では、認証情報(パスワードなど)の管理プロセスにおいて「認証情報の適切な取扱いについて要員に助言すること」を含むことが追加で求められるようになりました。
   
   ただ、旧規格でも「秘密認証情報の利用」という管理策の中で、「秘密認証情報の利用時には組織の慣例に従うよう利用者に要求すること」が求められており、「組織の慣例」が「適切な取扱い」に、「要求」が「助言すること」に置き換えられたと考えると従来の取り組みで対応できていると考えて良いでしょう。
   

2. 「パスワード管理システム」への言及の削除
   新規格では「割当てや管理は適切なプロセスで管理しましょう」という形で表現がまとめられたことで、旧規格で単独で存在していたパスワード管理システムの管理策はなくなりました。
   
   ただもちろん考慮しなくて良くなったというものではなく、自分たちでシステムを作ったりする場合にはセキュアなパスワード管理ができる仕組みを考慮したり、自分たちが必要とする認証方法やパスワード設定ができるクラウドサービスか確認したり、自分たちで設定が変えられる場合には自分たちのルールに応じた設定を行うなどはするべきです。

5.18 アクセス権

1. 一つの管理策にアクセス権管理全般の要求が包含
   旧規格においてアクセス権に関しては、「提供」「レビュー」「削除・修正」と、取り組み別に管理策が存在していました。
   一方で新規格においては一つの管理策の中で、「提供〜変更・削除」までまとめて考慮することが求められています。
   
   ただ管理策の表現が変わったとはいえ、求められていることに変化が生じているわけではないので、従来の取り組みからの変化を求められるものでもないと考えられます。

5.19 供給者関係における情報セキュリティ

1. 「供給者との合意」から「供給者管理プロセスの明確化」への要求の変化
   従来から委託先などの供給者管理については言及されてきていましたが、旧規格の同じ管理策では「リスク軽減のための情報セキュリティ要求事項を供給者と合意・文書化すること」が求められていたのに対し、新規格では「リスクを管理するためのプロセス・手順を定め、実施すること」が求められています。
   
   旧規格の要求に準じ供給者との合意について定めていることも一つの管理プロセス・手順であると捉えることもできますが、合意についてしか定めていない場合は選定や見直しなどもう少し供給者管理全般を考慮したルールなどの検討も考えたほうが良いかもしれません。

5.20 供給者との合意における情報セキュリティの取扱い

1. 表現の平易化
   「供給者と合意しましょう」という要求そのものに変化はありません。
   
   その上で変更点としては旧規格では合意すべき供給者の対象について詳細に記載されていたのに対して、新規格では「供給者の種類に応じて」という記載に平易化が行われています。
   
   ただ、新規格で言及されている「供給者」というのが旧規格で詳細に記載されていた対象であることに変わりはないので、従来の対応からあえて何らか変更する必要はないでしょう。

まとめ

今回も5つの管理策について変更点を整理してみました。
今回は、アクセス権について複数存在していた管理策が「アクセス権」という一つの管理策の中でライフサイクル全てを考慮するようになるなど、「管理策の統合」という動きがわかりやすいかと思います。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会